int(481)

Boletines de Vulnerabilidades


Desbordamiento de Búfer en servidor Web Apache

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto con cuenta

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado Apache v.<=1.3.28
Apache v.<=2.0.47

Descripción

Se ha descubierto una vulnerabilidad en el servidor Web Apache , versiones anteriores o iguales a 1.3.28 y 2.0.47. El desbordamiento de buffer se ha encontrado en dos módulos distintos llamados "mod_alias" y "mod_rewrite".

En configuraciones particulares esta vulnerabilidad permite a usuarios no autorizados copiar archivos en el servidor Web y ejecutar acciones maliciosas.

Solución



Actualización de software

Apache
Apache 1.3.29
http://httpd.apache.org/download.cgi
Apache 2.0.48
http://httpd.apache.org/download.cgi

Sun

Solaris 9
SPARC
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=113146%26rev=03
x86
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=114145%26rev=02

Solaris 8
SPARC - T-patch T116973-01
x86 - T-patch T116974-01
http://sunsolve.sun.com/tpatches

SCO
UnixWare 7.1.3
Open UNIX 8.0.0
UnixWare 7.1.1
ftp://ftp.sco.com/pub/updates/UnixWare/SCOSA-2004.6

SUN
SPARC Platform
Solaris 8 con parche 116973-02 o posterior
x86 Platform
Solaris 8 con parche 116974-02 o posterior

SPARC Platform
Solaris 8 con parche 116973-02 o posterior
Solaris 9 con parche 113146-03 o posterior
x86 Platform
Solaris 8 con parche 116974-02 o posterior
Solaris 9 con parche 114145-02 o posterior

Identificadores estándar

Propiedad Valor
CVE CAN-2003-0542
BID

Recursos adicionales

Apache
http://www.apache.org/dist/httpd/Announcement2.html

SCO Security Advisory SCOSA-2004.6
ftp://ftp.sco.com/pub/updates/UnixWare/SCOSA-2004.6/SCOSA-2004.6.txt

Sun(sm) Alert Notification 57496
http://sunsolve.sun.com/search/document.do?assetkey=1-26-57496-1&searchclause=


Sun Alert Notification (101841)
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101841-1&searchclause=%22category:security%22%20%22availability,%20security%22%20category:security

Sun Alert Notification (101444)
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101444-1&searchclause=%22category:security%22%20%22availability,%2
0security%22%20category:security

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2003-11-03
1.1 Aviso emitido por SCO (SCOSA-2004.6) 2004-05-05
1.2 Aviso actualizado por Sun (57496) 2004-09-27
1.3 Aviso actualizado por SUN (101841) 2005-08-12
1.4 Aviso actualizado por SUN (101444) 2005-08-16

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT